Vier Erkenntnisse aus einem Jahrzehnt Anwendungssicherheit

Bedrohungen bleiben auf hohem Niveau, aber neue Ansätze können helfen.

Quelle: Veracode (c)

Bereits seit 2009 veröffentlicht der Anwendungssicherheitsspezialist Veracode jedes Jahr seinen State of Software Security (SoSS) Report. Zur zehnjährigen Ausgabe liegt es da natürlich nahe, einen Vergleich zu ziehen und einen Blick auf die Entwicklungen in der letzten Dekade zu werfen. Zunächst fällt auf, dass die Stichprobengröße enorm angewachsen ist. Wurden 2009 rund 1.600 Anwendungen untersucht, waren es in diesem Jahr bereits 85.000. Das entspricht einer Steigerung um mehr als den Faktor 50. Bei der Analyse der Ergebnisse und dem Vergleich mit den alten Daten traten die folgenden vier Aspekte als besonders interessant hervor:

  1. Mehr Schwachstellen

Im ersten SoSS-Report von 2009 wiesen 72 Prozent der Anwendungen mindestens einen Fehler auf. Im aktuellen Report ist diese Zahl auf 83 Prozent gestiegen. Das heißt, aktuell ist nur jede fünfte Anwendung fehlerfrei. Allerdings ist zu bedenken, dass für den Report 2019 wesentlich mehr Anwendungen aus verschiedenen Bereichen getestet wurden und sich die Testmethoden und Funktionalitäten ebenfalls verbessert haben.

  1. Weniger gravierende Funde

Für eine allgemeine Verbesserung der Anwendungssicherheit spricht, dass 2009 noch in 34 Prozent der untersuchten Software schwerwiegende Defizite aufgedeckt wurden, 2019 jedoch nur noch in 20 Prozent. Auch die OWASP-Compliance der untersuchten Apps hat sich verbessert. Vor zehn Jahren erreichten nur 23 Prozent diese Anforderungen, heute sind es immerhin 32 Prozent.

  1. Behebung dauert oft länger

Durchschnittlich dauerte es 2009 59 Tage, um Schwachstellen in Anwendungen zu beheben. Der aktuelle Report verzeichnet dafür hingegen 171 Tage. Interessant ist, dass der Median bei 59 Tagen verblieben ist. So gesehen haben sich die Fixraten in den letzten zehn Jahren nicht verschlechtert, jedoch ist die Sicherheitsverschuldung – also die wachsende Anzahl an nicht behobenen Fehlern – angestiegen. Dahinter steckt sicherlich auch die immer weiterwachsende Komplexität moderner Anwendungen und damit einhergehende Notwendigkeit öfter Software-Sicherheitstests durchzuführen.

  1. DevSecOps zahlt sich aus

Im Jahr 2009 hat der Begriff DevOps und die Bewegung dahinter erst langsam angefangen sich zu entwickeln. Von DevSecOps war damals natürlich noch keine Rede. Folglich fand dieser Ansatz im Report von 2009 noch keine Berücksichtigung. Mittlerweile sind allerdings beide Begriffe in der IT-Welt fest etabliert und DevSecOps hat sich als ein zentraler Treiber für die Behebung von Schwachstellen in den Analysen der zehnten Ausgabe des SoSS-Reports ergeben. Dabei zeigt sich ein Zusammenhang zwischen der Häufigkeit von Tests und der Zeitspanne, in der Fehler behoben werden. Bei Anwendungen, die nur ein- bis 12 Mal pro Jahr gescannt werden, liegt die durchschnittliche Bearbeitungszeit bei 68 Tagen. Werden Anwendungen 13 bis 52 Mal pro Jahr überprüft, sinkt die Bearbeitungszeit auf 59 Tage. Wenn Teams allerdings täglich – oder fast täglich – Scans durchführen, stinkt diese Zeitspanne auf nur 19 Tage. Daraus ergibt sich, dass Teams durch die im Rahmen der von DevSecOps geforderten häufigen Tests, Schwachstellen wesentlich schneller finden und beheben können.

Fazit

Anwendungen werden immer komplexer und müssen immer häufiger an Kundenwünsche angepasst werden. Die Geschwindigkeit in der Entwicklung und unzureichende Sicherheitstrainings für Entwickler führen auch zu einem höheren Risiko für Schwachstellen im Code. So verwundert es nicht, dass die meisten Apps Fehler beinhalten. Das ist auch kein Problem, sofern sie rechtzeitig gefunden werden. Gründliches und häufiges Scannen über den gesamten Zyklus der Software-Entwicklung ist für Entwickler entscheidend, um Schwachstellen zu finden und diese während der Entwicklung effizient zu beheben. Denn tatsächlich reduziert ein DevSecOps-Ansatz die durchschnittliche Zeitspanne, um fehlerhafte Anwendungen zu reparieren, um 72 Prozent. Unternehmen müssen das gemeinsame Ziel verfolgen, sichere Produkte zu entwerfen. Unter anderem dabei kann eine Application Security Platform helfen.

 

67 Artikel zu „Anwendungssicherheit“

Finanzsektor auf dem vorletzten Platz bei Anwendungssicherheit

67 Prozent aller Finanzanwendungen stellen Risiko dar. Finanzdaten hochattraktives Ziel für Cyberkriminelle.   Banken und andere Finanzinstitutionen haben den Ruf, aufgrund der sensiblen Finanzinformationen, die sie verarbeiten, über ausgereifte Sicherheitsmaßnahmen zu verfügen. Allerdings zeigt der jüngste »State of Software Security Report« von Veracode, dass der Finanzsektor ebenso mit Sicherheit zu kämpfen hat, wie andere Branchen.…

5 vermeidbare Fehler in der Anwendungssicherheit

Die Aktivitäten der IT-Sicherheit erzielen häufig nicht die erwünschten Resultate. Dass in solchen Fällen guter Rat teuer ist, ist eine Binsenweisheit. Denn oftmals sind es relativ simple Dinge, die die effiziente Umsetzung einer Sicherheitsstrategie behindern. Julian Totzek-Hallhuber, Solution Architect bei CA Veracode, nennt fünf vermeidbare Fehler in der Anwendungssicherheit. Keine Risikobewertung von Anwendungen Kunden sollten…

IT-Experten besorgt über die Daten- und Anwendungssicherheit in Cloud-Umgebungen

Daten- und Anwendungssicherheit sowie die Sichtbarkeit des Datenverkehrs sind die größten Probleme beim Einsatz von Public Clouds. Dies ist das Ergebnis einer Umfrage bei über 350 IT-Professionals in Unternehmen mit mehr als 1.000 Mitarbeitern, die in erster Linie für Cloud-Implementierungen und deren Management verantwortlich [1]. Danach machen sich über 90 Prozent der Befragten Sorgen um…

DevSecOps: Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem Vormarsch. Drei zentrale Herausforderungen, die das für die Anwendungssicherheit mit sich bringt. Microservices sind im Software Development schon seit mehreren Jahren auf dem Vormarsch. Viele kleine Services anstatt einzelner monolithischer Applikationen zu entwickeln, bietet in der Tat zahlreiche Vorzüge. Eine kleine Auswahl der…

Fünf Herausforderungen für die Anwendungssicherheit

Cloud-, Web- und mobile Anwendungen spielen für viele Unternehmen aus den verschiedensten Branchen eine bedeutende Rolle beim Vorantreiben ihrer Innovationsfähigkeit. Mit dem vermehrten Einsatz von miteinander vernetzten Technologien steigt jedoch auch das Risiko für potenzielle Angriffe von Cyberkriminellen, die sich über Sicherheitslücken Zugriff auf die IT-Infrastruktur verschaffen. Leider wird aufgrund der Vielzahl von Applikationen nur…

Immer mehr KMU von Cyberangriffen betroffen

Fehlende Ressourcen sorgen für langfristig höhere Kosten. Kleine und mittelständische Unternehmen (KMU) werden immer häufiger Opfer von Cyberangriffen. Aktuelle Studien zeigen zudem, dass die Mehrheit der KMU nicht auf digitale Angriffe vorbereitet ist. Aus diesem Grund haben Sicherheitsforscher von Malwarebytes verschiedene Faktoren analysiert, die sich auf die Cybersicherheit von KMU auswirken, von der Häufigkeit von…

Streaming: Ein Cybersicherheitsrisiko

Es ist mittlerweile eine Tatsache: Die rasante Entwicklung der Streaming-Technologien zieht neue Internetnutzer mit schwindelerregenden Geschwindigkeiten an. Der digitale Konsum von Inhalten wie Musik, Videos, Serien und Filmen explodiert buchstäblich. Der Beweis dafür sind das Wachstum der großen offiziellen Plattformen wie Netflix und Amazon Prime Video sowie die Existenz zahlreicher illegaler Websites, die den kostenlosen…

Die Bedeutung von Governance, Risiko und Compliance für die Cybersicherheit

Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt…

Cyberrisiken durch mangelnde IT-Security bei DevOps

Silos in der Unternehmens-IT führen zu unnötigen Sicherheitsrisiken. Die mangelnde Beteiligung der IT-Security an DevOps-Projekten führt laut einer Umfrage für 62 % der IT-Führungskräfte in Deutschland zu einem erhöhten Cyberrisiko.   Um die DevOps-Kultur besser zu verstehen, beauftragte der japanische IT-Sicherheitsanbieter Trend Micro das unabhängige Marktforschungsunternehmen Vanson Bourne damit, 1.310 IT-Entscheider in KMUs und Großunternehmen…

IT-Security zieht in die Cloud um: Vom Büro bis zum Home-Office ist alles abgesichert

Unternehmen wollen Risiken minimieren – Firewalls der nächsten Generation sind in der Cloud. In der IT-Security hat es in den vergangenen Jahren viele Erdbeben gegeben – die Risiken sind enorm gewachsen, neue Opfer von Ransom- oder Malware kommen täglich hinzu. Die Risiken wollen Unternehmen minimieren, und vor allem die Verantwortung von der eigenen und meist…

Ersetzt künstliche Intelligenz das Security Operations Center?

Künstliche Intelligenz (KI) ist nicht mehr nur eine Vision. KI, maschinelles Lernen (ML), Deep Learning (DL) und andere Formen algorithmisch basierter, automatisierter Prozesse sind heute Mainstream und auf dem Weg zu einer tiefgehenden Integration in ein breites Spektrum von Front-Office-, Back-Office- und In-the-Field-Anwendungen. Ebenso gibt es viele gute Beispiele dafür, wie KI eingesetzt wird, um…

5 Bereiche in denen Cybersicherheit von KI profitiert

Illustration: Geralt Absmeier Eine Untersuchung von Markets and Markets prognostiziert, dass die Industrie für künstliche Intelligenz bis zum Jahr 2025 auf ein Volumen von 190 Milliarden Dollar wächst. Bis zum Jahr 2021 werden dreiviertel aller kommerziellen Unternehmensanwendungen KI nutzen. Ein Bereich, in dem künstliche Intelligenz weiterhin auf dem Vormarsch ist, ist die Cybersicherheit. Wie in…

5 Grundsätze sicherer Open-Source-Software

Kaum ein Softwareprojekt beginnt heute noch auf der grünen Wiese. Das können sich Entwickler und Unternehmen in Zeiten immer schnellerer Release-Zyklen nicht leisten. Um Zeit und Kosten zu sparen, entscheiden sie sich deshalb oft für Open-Source-Bibliotheken. Dabei sollte man aber bedenken, dass die Open-Source-Komponenten, die aus Millionen von bestehenden Bibliotheken entnommen werden, auch Schwachpunkte in…

Unzustellbare Adressen: Leider unzustellbar

Post- und Paketzusteller in Deutschland stehen regelmäßig in der Kritik. Dabei geht es oft darum, dass Sendungen nicht zugestellt wurden. Indes müssen die daran nicht unbedingt schuld sein, wie die Adress-Studie 2018 von Deutsche Post Direkt zeigt. Demnach ist durchschnittlich jede sechste Kundenadresse (16,4 Prozent) fehlerhaft und damit nicht zustellbar. Dabei ist die Kundendaten-Qualität offenbar…

Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit

Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…

Einführung von Stream Processing und KI im Unternehmen – Engpässe und erfolgskritische Zusammenhänge

Aktuell wird viel darüber diskutiert, wie künstliche Intelligenz (KI) eingesetzt werden kann, insbesondere im Hinblick auf Stream Processing und Datenströme zwischen Systemen, Endgeräten und Echtzeitanwendungen. Da die Einführung von KI im Unternehmen einen entscheidenden Punkt erreicht hat, wird deutlich, dass Stream Processing und KI oft zusammenhängen und ähnliche Herausforderungen auftreten.   KI und Echtzeitdaten sind…

Karriere und Weiterbildung in der IT

Eine neue Studie beschäftigt sich allem mit einer Lücke, die sich zwischen künftigen Technologien in der IT – deren Umgang noch zu erlernen wäre – und beruflichen Gegebenheiten auftut, die einer entsprechenden Weiterbildung im Wege stehen. Nachfolgend finden Sie die wichtigsten deutschen Forschungsergebnisse.   Der »SolarWinds IT Trends Report 2019: Skills for Tech Pros of Tomorrow« nimmt Themen wie Zuversicht, aktuell…

Wettlauf zwischen Angreifern und Verteidigern – KI und IT-Sicherheit

Die vom Bundesministerium für Bildung und Forschung (BMBF) initiierte Plattform Lernende Systeme (PLS) hat das Ziel, künstliche Intelligenz und maschinelles Lernen im Sinne der Gesellschaft zu gestalten. Im aktuellen Whitepaper »Künstliche Intelligenz und IT-Sicherheit« analysiert die Arbeitsgruppe »IT-Sicherheit, Privacy, Recht und Ethik« der PLS eines der Spannungsfelder der KI. Beigetragen haben dazu auch Experten des…